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(57) Abstract: The invention relates to a processor comprising a first arithmetic-logic unit (2), a second arithmetic-logic unit (4) 
and a control device (6) for controlling both arithmetic-logic units (2, 4). The control device controls the arithmetic-logic units in 
such a manner that they operate, as desired, in a high-security operational mode, in which complementary data is processed, or in a 
parallel operational mode, in which independent data is processed, or in a security operational mode, in which the same the data is 
processed, or are located in a power saving mode, in which one of the arithmetic-logic units (2, 4) is switched off. 
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(57) Zusammenfassung: Prozessor mil mehreren RechenwerkenEin Prozessor umfaBt ein erstes Rechenwerk (2), ein zweiies Re- 
chenwerk (4) und eine Steuereinrichtung (6) zum Ansteuem der beiden Rechenwerke (2, 4) derart, da8 diese wahlweise in einer 
komplementare Daien verarbeitenden Hochsicherheitsbetriebsart oderin einer unabhangige Daten verarbeitenden ParaJleJbetriebs- 
art Oder in einer gleiche Daten verarbeitenden Sicherheitsbetriebsaxi arbeilen oder sich in einer Leistunpssparbetriebsan befinden, in 
der eines der Rechenwerke (2, 4) abgeschaJtei isi. 
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Beschreibung 

Prozessor mit mehreren Rechenwerken 

5 Die vorliegende Erfindung bezieht sich auf einen Prozessor 
mit mehreren Rechenwerken und insbesondere auf einen Prozes- 
sor mit mehreren Rechenwerken, die in einer wahlbaren Be- 
triebsart entsprechend der Dual-Rail-Logik zusammenwirken 
konnen . 

10 

Mikroprozessoren bzw. Controller fur Chipkartenanwendungen 
und andere kryptographische Anwendungen mussen haufig beson- 
deren Sicherheitsbedingungen genugen. Eine der Hauptanf orde- 
rungen ist die Sicherheit des Mikroprozessors gegen ein unbe- 

15 rechtigtes Auslesen geheimer Informationen, insbesondere uber 
Seitenkanalangrif fe ("side channel attacks' 7 ) . Seitenkanalan- 
griffe erfolgen beispielsweise durch eine Erfassung der Lei- 
stungsaufnahme eines Prozessors oder uber eine elektromagne- 
tische oder elekt rostatische Erfassung von Signalf lussen, wo- 

20 bei aus den so gewonnenen Inf ormationen Ruckschlusse auf in- 
terne Vorgange in dem Prozessor gezogen werden konnen. Neben 
Hochsicherheitsaufgaben muB ein Chipkartencontroller aber 
auch eine Vielzahl konventioneller Operationen ausfuhren, bei 
denen eine hohe Leistung einen groJien Vorteil darstellt und 

25 einen wichtigen Marktvorteil ergeben kann. Als Beispiele wa- 
ren hier Anwendungen aus dem Mobilf unkbereich zu nennen, bei 
denen die eigentliche Authentikation nur einen sehr geringen 
Teil der Programmlauf zeit ausmacht. Trotzdem wird fur diesen 
geringen Anteil die voile Sicherheit der Authentikation ver- 

30 langt. Ahnliches giJt auch fur elektronische Geldborsen, sc- 
gar fur die Geldkarte, denn auch bei diesen Anwendungen sind 
qrofie Teile des Programmablauf s wenig sicherheitskritisch, 
die eigentliche Authentikation ist jedoch eine Hochsicher- 
heitsauf gabe - 

35 

Eine hochsichere Ausfuhrung des Prozessorkerns ist z. B. in 
der sog. Dual-Rail-Logik mit Precharge moglich. Die Ausfuh- 
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rung eines Sicherheitsmikrocontrollers in Dual-Rail-Logik mit 
Precharge ist eine wichtige Maftnahme gegen Seitenkanalangrif- 
fe, die heute eine grofie Bedrohung darstellen. Sie verursacht 
jedoch einen im Vergleich zu einem herkommlichen Prozessor 
5 wirtschaf tlich nachteiligen grofteren Flachenbedarf und kann 
durch die Notwendigkeit mehrerer Taktphasen zu Leistungsein- 
buJSen des Mikroprozessors fuhren. Dies hat im Vergleich zu 
Standardarchitekturen eine geringere Rechenleistung bzw. ei- 
nen geringen Datendurchsatz sowie einen erhohten Leistungsbe- 
1C darf des Erozessors zur Folge. 

Die Aufgabe der vorliegenden Erfindung besteht darin, einen 
Prozessor mit erhohter Sicherheit zu schaffen, der eine hohe- 
re Rechenleistung bzw. einen kleineren Leistungsbedarf auf- 
1 5 we ist. 

Diese Aufgabe wird durch einen Prozessor gemali Anspruch 1, 2, 
3 oder 11 gelost. 

2C Ein Prozessor gemali der vorliegenden Erfindung umfafit ein er- 
stes Rechenwerk, ein zweites Rechenwerk und eine Steuerein- 
richtung zum Ansteuern der beiden Rechenwerke derart, daii 
diese wahlweise in einer komplementare Daten verarbeitenden 
Hochsicherheitsbetriebsart oder in einer unabhangige Daten 

21 verarbeitenden Parallelbetriebsart arbeiten. Anstatt der Par- 
allelbetriebsart oder zusatzlich kann als weitere Betriebsart 
eine Leistungssparbetriebsart, in der eines der Rechenwerke 
abgeschaltet ist, oder eine Sicherheit sbetriebsart , in der 
beide Rechenwerke parallel gleiche Daten verarbeiten, vorge- 

30 sehen sein. 

Gemafc einem bevorzugten Ausf iihrungsbeispiel der vorliegenden 
Erfindung umfaftt ein Prozessor ferner eine schaltbare Komple- 
mentierungseinrichtung mit einem Ausgang, der mit einem Ein- 
3ir gang des zweiten Rechenwerks verbunden ist, zum Empfangen von 
Daten und zum wahlweisen Ausgeben der empfangenen Daten oder 
des Komplements der empfangenen Daten. 
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Ein Prozessor gemali der vorliegenden Erfindung kann ferner 
ein drittes Rechenwerk und ein viertes Rechenwerk umfassen, 
wobei das dritte Rechenwerk und das vierte Rechenwerk durch 
5 die Steuereinrichtung derart ansteuerbar sind, dafi sie wahl- 
weise in einer komplementare Daten verarbeitenden Hochsicher- 
heitsbetriebsart oder in einer unabhangige Daten verarbeiten- 
den Parallelbetriebsart arbeiten. In einer anstelle der Hoch- 
sicherheitsbetriebsart oder zusatzlich zu ihr vorgesehenen 
10 Leistungssparbetriebsart ist das dritte und/oder das vierte 
Rechenwerk abgeschaltet . 

Das erste Rechenwerk und das zweite Rechenwerk sind vorzugs- 
weise derart. ausgestaltet , daJi sie in der Hochsicherheitsbe- 
15 triebsart zeitsynchron die gleichen Befehle verarbeiten kon- 
nen. Das erste Rechenwerk und das zweite Rechenwerk sind vor- 
zugsweise raumlich benachbart angeordnet. Der Prozessor kann 
beispielsweise ein Kryptographieprozessor sein. 

20 Ein weiterer Prozessor gemaft der vorliegenden Erfindung um- 
fafit ein erstes Rechenwerk, ein zweites Rechenwerk, eine Da- 
tenquelle, welche mit dem ersten Rechenwerk und dem zweiten 
Rechenwerk derart verbunden ist, dafi synchron dem ersten Re- 
chenwerk Daten und dem zweiten Rechenwerk das Komplement der 

25 Daten zugefiihrt werden, und eine Bef ehlsquelle, welche ein 
Paar von Befehlen aufweist, wobei einer der Befehle des Be- 
fehlspaares fur das erste Rechenwerk vorgesehen ist und wobei 
der andere Befehl des Bef ehlspaares fur das zweite Rechenwerk 
vorgesehen ist, und wobei die Bef ehlsquelle mit dem ersten 

30 Rechenwerk und dem zweiten Rechenwerk derart verbunden ist, 
dafi synchron der fur das erste Rechenwerk vorgesehene Befehl 
des Bef ehlspaares dem ersten Rechenwerk und der fur das zwei- 
te Rechenwerk vorgesehene Befehl des Bef ehlspaares dem zwei- 
ten Rechenwerk zugefiihrt werden konnen. 

35 

Der fur das erste Rechenwerk vorgesehene Befehl und der fur 
das zweite Rechenwerk vorgesehene Befehl konnen gleich sein, 
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wenn der Prozessor in einer Dual-Rail-Betriebsart oder einer 
Sicherheitsbetriebsart arbeiten soil, sie konnen voneinander 
verschieden sein, wenn der Prozessor in einer Hochleistungs- 
betriebsart arbeiten soli, unci einer der beiden Befehle kann 
5 das Rechenwerk, fur das er vorgesehen ist, stiliegen, wenn 
der Prozessor in einer Leistungssparbetriebsart arbeiten 
soli . 

Eine weitere Aufgabe der vorliegenden Erfindung besteht dar- 
10 in, eine Chipkarte mit erhohter Sicherheit und einer verbes- 
serten Rechenleistung und/oder einem verringerten Leistungs- 
bedarf zu schaffen. 

Diese Aufgabe wird durch eine Chipkarte gemaJJ Anspruch 13 ge- 
15 lost. 

Eine Chipkarte gemaJJ der vorliegenden Erfindung umfaJJt einen 
der oben beschriebenen Prozessoren. 

20 Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, dafi 
eine Dual-Rail-Logik durch eine Anordnung mehrerer Prozessor- 
teilmodule realisiert werden kann, die in verschiedenen Be- 
triebsarten betrieben werden konnen. Vorteilhaft enthalt ein 
solcher Mikroprozessor zwei oder eine andere gerade Anzahl 

25 von CPU-Teilmodulen, die zumindest paarweise identisch aufge- 
baut sind. Bei zwei CPU-Teilen kann zwischen vier verschiede- 
nen Betriebszustanden gewahlt und im Betrieb umgeschaltet 
werden : 

30 1. Hochsicherheitsbetriebsart : Einer der beiden CPU-Teile 
bzw. e;nes cer beiden Rechenwerke ci'beitet v:ie eir. her- 
kommlicher Standardprozessor. Der zweite Teil jedoch 
wird mit den komplementaren Daten versorgt und bearbei- 
tet diese zeitsynchron mit exakt den gleichen Befehlen 

35 und der gleichen Ansteuerung, wobei die Rechenwerke im 

Precharge-Betrieb arbeiten. Damit wirken die beiden Pro- 
zessorteile zusammen wie ein einziger Prozessor mit Du- 
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al-Rail-Logik, sie befinden s±ch in der Hochsicherheits- 
betriebsart. Vorteilhaft sind die komplementar rechnen- 
den Elemente raumlich nebeneinander angeordnet und vor- 
zugsweise sind sie ferner verwoben angeordnet, wodurch 
eine solche Anordnung auch gegen elektromagnetische Ab- 
strahlungsanalysen gesichert werden kann. Im Sinne die- 
ser Anmeldung ist ein Prozessor mit komplementar rech- 
nende Rechenwerke ein Prozessor mit einer von verarbei- 
teten Daten unabhangigen Stromauf nahme . 

Hochleistungsbetriebsart : Fur Programme oder Programm- 
teile, bei denen eine starke Sicherung gegen Seitenka- 
nalangriffe nicht erforderlich ist, ist die Hochlei- 
stungsbetriebsart vorgesehen. In dieser Betriebsart" wer- 
den die CPU-Teile bzw. Rechenwerke mit parallel abzuar- 
beitenden bzw. unterschiedlichen Programmteilen ver- 
sorgt. So entsteht eine Anordnung von zwei CPUs bzw. 
Prozessoren, wodurch sich der Datendurchsatz verdoppeln 
kann . 

Leistungssparbetriebsart: In der Leistungssparbetriebs- 
art wird eines oder mehrere Rechenwerke deaktiviert, so 
dafi nur noch ein Rechenwerk oder ein Teil der Rechenwer- 
ke arbeitet. Durch die kleinere Anzahl von schaltenden 
Gattern ist die Leistungsauf nahme reduziert. Der Prozes- 
sor arbeitet in dieser Betriebsart weder im Bereich der 
hochsten Sicherheitsstuf e noch im Bereich der hochsten 
Leistung. 

Sicherheitsbetriebsart : Eine Sicherhei tsbetriebsart ist 
eine Betriebsart, bei der zwei Rechenwerke die gleichen 
Daten verarbeiten und durch Vergleich der Ergebnisse 
dieser Verarbeitung die Betriebssicherheit erhoht wird, 
was beispielsweise einen Schutz gegen DFA (differential 
fault attack) bietet. 
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Ein Vorteil des erf indungsgemaJJen Prozessors besteht darin, 
daB er die hohe Sicherheit einer Dual-Rail-Logik fur sicher- 
heitsrelevante Programme bzw. Programmteile und eine hohe Re- 
chenleistung oder einen geringeren Leistungsbedarf fur eine 
Verarbeitung weniger sicherheitsrelevanter Programmteile bie- 
tet, wobei zwischen verschiedenen Betriebsarten dynamisch 
auch wahrend des Betriebes geschalten werden kann. 

Wenn in der vorliegenden Anmeldung von zwei Rechenwerken die 
Rede ist, konnen jeweils w-2 Rechenwerke zum Einsatz kommen, 
wobei n eine natiirliche Zahl ist. 

Ein bevorzugtes Ausf iihrungsbeispiel der vorliegenden Erfin- 
dung wird nachfolgend Bezug nehmend auf die beiliegenden 
Zeichnungen naher erlautert. Es zeigen: 

Fig. 1 eine schematische Darstellung eines Ausf iihrungsbei- 
spiels der vorliegenden Erfindung; 

Fig. 2 eine schematische Darstellung einer Hochsicher- 

heitsbetriebsart des Ausf iihrungsbeispiels aus Fig. 
1; 

Fig. 3 eine schematische Darstellung einer Hochleistungs- 
betriebsart des Ausf iihrungsbeispiels aus Fig. 1; 

Fig. 4 eine schematische Darstellung einer Leistungsspar- 
betriebsart des Ausf iihrungsbeispiels aus Fig. 1; 
und 

Fig. I eine schematische Dorstellunc eine: Si cherhei t she - 
triebsart des Ausf iihrungsbeispiels aus Fig. 1. 

Fig. 1 ist eine schematische Darstellung des fur die vorlie- 
gende Erfindung relevanten Teils eines Prozessors gemali einem 
Ausfiihrungsbeispiel der vorliegenden Erfindung. Der Prozessor 
weist ein erstes Rechenwerk 2, ein zweites Rechenwerk 4, eine 
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Steuereinrichtung 6 und eine Komplementierungseinrichtung 8 
auf. Im Fall von zwei parallelen Datenleitungen kann die Kom- 
plementierungseinrichtung 8 durch einen Inverter gebildet 
sein. Die Steuereinrichtung 6 ist mit dem ersten Rechenwerk 2 
uber eine Steuerleitung 12 und mit dem zweiten Rechenwerk 4 
liber eine Steuerleitung 14 wirksam verbunden. Das erste Re- 
chenwerk 2 weist einen Bef ehlseingang 16, der uber eine Lei- 
tung 18 mit einer nicht dargestellten Bef ehlsquelle, bei- 
spielsweise einem Programmspeicher in Form eines ROMs (ROM = 
Read Only Memory = Nur-Lese-Speicher ) , eines RAMs (RAM = Ran- 
dom Access Memory = Speicher mit wahlfreiem Zugriff) oder ei- 
ner Festplatte, verbunden ist, sowie einen Dateneingang 20, 
der uber eine Datenleitung 22 mit einer nicht dargestellten 
Datenguelle, beispielsweise einem Datenspeicher oder einer 
Schnittstelle verbunden ist, auf. Das zweite Rechenwerk 4 
weist einen Bef ehlseingang 24, der tiber eine Bef ehlsleitung 
26 mit der nicht dargestellten Bef ehlsquelle , mit der das er- 
ste Rechenwerk uber die Bef ehlsleitung 18 verbunden ist, oder 
mit einer anderen Bef ehlsquelle verbunden ist, und einen Da- 
teneingang 28, der uber eine Datenleitung 30 mit einem Aus- 
gang 32 der Komplementierungseinrichtung 8 verbunden ist, 
auf. Die Komplementierungseinrichtung 8 weist ferner einen 
Eingang 34 auf, der uber eine Datenleitung 36 mit der Daten- 
quelle, mit der das erste Rechenwerk 2 tiber die Datenleitung 
22 verbunden ist, oder einer anderen Datenquelle verbunden 
ist. Die Steuereinrichtung 6 und die Komplementierungsein- 
richtung 8 sind uber eine Steuerleitung 38 wirksam verbunden. 

Das erste Rechenwerk 2 bzw. das zweite Rechenwerk 4 verarbei- 
tet gesteuert durch Befehle, die ihm an dem Bef ehlseingang 16 
bzw. 24 zugeieitet werden, Daten, die ihm am Dateneingang 20 
bzw. 2 8 zugeieitet werden. Die Komplementierungseinrichtung 8 
ist steuerbar bzw. schaltbar, d. h. sie gibt an ihrem Ausgang 
32 wahlweise Daten aus, die sie am Eingang 34 empfangen hat 
(Komplementierungseinrichtung ausgeschaltet ) oder deren Kom- 
plement (Komplementierungseinrichtung eingeschaltet ) . Diese 
beiden Zustande der Komplementierungseinrichtung 8 werden 
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durch die Steuereinrichtung 6 uber die Steuerleitung 38 ge- 
steuert bzw. geschaltet. Die Steuereinrichtung 6 steuert fer- 
ner das erste Rechenwerk 2 und das zweite Rechenwerk 4 urn 
mehrere verschiedene Betriebsmodi bzw. Betriebsarten einzu- 
5 stellen, die nachfolgend anhand der Fig. 2 bis 4 naher be- 
schrieben werden. 

Fig. 2 ist eine schematische Darstellung einer Hochsicher- 
heitsbetriebsart des Ausf uhrungsbeispiels aus Fig. 1. In die- 

10 ser Betriebsart empfangen das erste Rechenwerk 2 und das 

zweite Rechenwerk 4 an dem Bef ehlseingang 16 bzw. 24 diesel- 
ben Befehle zur Verarbeitung von Daten. Ferner werden dem er- 
sten Rechenwerk 1 am Dateneinganc 20 und der Komplementie- 
rungseinrichtung 8 am Eingang 34 dieselben Daten zugeleitet. 

15 Die Komplementierungseinrichtung 8 ist eingeschaltet , d. h. 
sie gibt am Ausgang 32 das Komplement der Daten aus, die sie 
am Eingang 34 empfangt. Das zweite Rechenwerk 4 empfangt so- 
mit an seinem Dateneingang 28 das Komplement der Daten, die 
das erste Rechenwerk 2 an seinem Dateneingang 20 empfangt. In 

20 dieser HochsicherheitsJbetriebsart entspricht die Funktion des 
Prozessors gemafi dem vorliegenden Ausf uhrungsbeispiel somit 
der Dual-Rail-Logik, d. h. die vorzugsweise baugleichen Re- 
chenwerke 2 und 4 verarbeiten gesteuert durch dieselben Be- 
fehle synchron komplementare Daten . In dieser Hochsicher- 

25 heitsbetriebsart ist ein Seitenkanalangrif f uber eine Messung 
der Leistungsauf nahme des Prozessors stark erschwert oder gar 
unmoglich, da die Leistungsauf nahme des ersten Rechenwerks 
und des zweiten Rechenwerks zusammen aufgrund der Verarbei- 
tung komplement arer Daten nicht von den Daten abhangig ist . 

30 Wenn das erste Rechenwerk 2 und das zweite Rechenwerk 4 in 

r aumlicher NEht rueinander oder : -einande:* verwcben angeord- 
net werden, wird ferner ein Seitenkanalangrif f liber eine Ana- 
lyse der elektromagnetischen Abstrahlung des Prozessors we- 
sentlich erschwert, da aufgrund der Verarbeitung komplementa- 

35 rer Daten immer in unmittelbarer Nahe zueinander Strome bzw. 
Spannungen auftreten, welche einem digitalen Wert und seinem 
Komplement entsprechen. 
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Fig. 3 zeigt eine Hochleistungsbetriebsart des ersten Rechen- 
werks 2 und des zweiten Rechenwerks 4. In dieser Betriebsart 
werden dem ersten Rechenwerk 2 und dem zweiten Rechenwerk 4 
an ihren Dateneingangen 20 und 28 verschiedene Daten und an 
ihren Bef ehlseingangen 16 und 2 4 verschiedene Befehle zuge- 
fiihrt. Durch die parallele bzw. gleichzeitige Verarbeitung 
verschiedener oder gleicher Daten mit verschiedenen oder 
gleichen Befehlen bzw. Programmen oder Programmteilen verdop- 
pelt sich die Rechenleistung des Prozessors gemaft dem vorlie- 
genden Ausf uhrungsbeispiel . Der Prozessor kann somit in der 
gleichen Zeit und mit der gleichen Leistungsauf nahme wie in 
der Hochsicherheitsbetriebsart, gesteuert durch die doppelte 
Anzahl von Befehlen, die doppelte Anzahl von Daten verarbei- 
ten. Gleichzeitig bietet diese Betriebsart aber nicht den be- 
sonderen Schutz gegen Seitenkanalangriffe, den die anhand der 
Fig. 2 erlauterte Hochsicherheitsbetriebsart bietet. Sie bie- 
tet jedoch den Vorteil der Verschleierung der Stromprofile 
sowie der elektromagnetischen Abstrahlung durch parallele 
Verarbeitung verschiedener Daten. 

Fig. 4 ist eine schematische Darstellung einer Leistungsspar- 
betriebsart. In dieser Betriebsart ist eines der beiden Re- 
chenwerks, hier das zweite Rechenwerk 4, abgeschaltet bzw. es 
wird nicht mit Leistung versorgt. Das andere Rechenwerk, hier 
das erste Rechenwerk 2, empfangt Daten und Befehle, welche es 
verarbeitet. In dieser Betriebsart sind die Leistungsauf nahme 
und die Rechenleistung der beiden Rechenwerke gegemiber der 
anhand Fig. 3 erlauterten Hochleistungsbetriebsart halbiert. 
Wde die Hochleistungsbetriebsart bietet auch die Leistungs- 
sparbetriebsart nicht die besondere Sicherheit gegenuber Sei- 
tenkanalangriffen, welche die anhand der Fig. 2 erlauterte 
Hochsicherheitsbetriebsart bietet. 

Fig. 5 ist eine schematische Darstellung einer Sicherheitsbe- 
triebsart des Ausf iihrungsbeispieles aus Fig. 1- In dieser Be- 
triebsart empfangen das erste Rechenwerk 2 und das zweite Re- 
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chenwerk 4 an dem Bef ehlseingang 16 bzw. 24 dieselben Befehle 
zur Verarbeitung von Daten. Ferner werden dem erst en Rechen- 
werk 1 am Dateneingang 2 0 und der Komplementierungseinrich- 
tung 8 am Eingang 34 dieselben Daten zugeleitet. Die Komple- 
5 mentierungseinrichtung 8 ist ausgeschaltet , d. h. sie gibt am 
Ausgang 32 die Daten aus, die sie am Eingang 34 empfangt. Das 
zweite Rechenwerk 4 empfangt somit an seinem Dateneingang 28 
die gleichen Daten, die das erste Rechenwerk 2 an seinem Da- 
teneingang 20 empfangt. In dieser Sicherheitsbetriebsart ver- 

10 arbeiten das erste Rechenwerk 2 und das zweite Rechenwerk 4 
gesteuert durch dieselben Befehle synchron die gleichen Da- 
ten. Die durch beide Rechenwerke ausgegebenen Ergebnisse wer- 
den einer in Fig. 1 nicht dargestellten Vergleichseinrichtung 
zugefuhrt, welche die Ausgabe des ersten Rechenwerkes 2 und 

15 die Ausgabe des zweiten Rechenwerkes 4 auf Ubereinstimmung 

iiberpruft und abhangig davon ein Signal ausgibt, welches ver- 
wendet werden kann, um beispielsweise eine Wiederholung der 
Verarbeitung der Eingangsdaten, eine Verwendung von Default- 
daten bzw. voreingestellten Daten anstelle der ausgegebenen 

20 Ergebnisse, eine Plausibilitatsuberpruiung der beiden ausge- 
gebenen Ergebnisse, eine voriibergehende Unterbrechung oder 
einen vollstandigen Abbruch der Datenverarbeitung durch die 
Rechenwerke oder eine andere voreingestellte Reaktion zu 
steuern bzw. auszulosen. Dadurch bietet die Sicherheitsbe- 

25 triebsart einen Schutz gegen einen DFA. 

Entsprechend kann auch bei der oben anhand der Fig. 2 darge- 
stellten Hochsicherheitsbetriebsart eine Oberprufung der 
durch das erste Rechenwerk 2 und das zweite Rechenwerk 4 aus- 
30 gegebenen Ergebnisse auf Komplementaritat durchgefiihrt wer- 
den . 

Die anhand der Fig. 2 bis 5 erlauterten Betriebsarten eignen 
sich fur verschiedene Aufgaben, welche ein Prozessor, bei- 
35 spielsweise ein Prozessor in einer Chipkarte oder ein anderer 
Kryptoprozessor oft abwechselnd oder nacheinander erfullen 
muB. Bei der Abarbeitung von Programmen oder Programmteilen 
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zur Authentication, zur Verschliisselung oder zum Zugriffs- 
schutz ist eine maximale Sicherheit gegeniiber Angriffen Unbe- 
fugter, beispielsweise gegeniiber Seitenkanalangrif f en, erfor- 
derlich. Der Umfang dieser extrem sicherheitsrelevanten Auf- 
5 gaben ist dabei oft vergleichsweise gering. Sie werden in der 
Hochsicherheitsbetriebsart ausgefuhrt, welche eine maximale 
Sicherheit und eine mittlere Leistung bietet. 

Den groliten Umfang haben bei vielen Anwendungen Operatipnen 
10 bzw. Auf gaben des Prozessors, die geringere oder gar keine 
Anforderungen an die Sicherheit gegeniiber Angriffen stellen, 
deren Abarbeitung in moglichst kurzer Zeit jedoch erwiinscht 
ist, beispielsweise um einem Anwender einen hohen Komfort zu 
bieten und ihm Wartezeiten zu ersparen. Diese Operationen 
15 konnen in der Hochleistungsbetriebsart ausgefuhrt werden, die 
einen geringeren Grad an Sicherheit gegeniiber Angriffen, aber 
eine im Vergleich zur Hochsicherheitsbetriebsart verdoppelte 
Rechenleistung bietet. 

20 Ferner treten bei zahlreichen Anwendungen Auf gaben auf, bei 
denen nur eine geringe oder fast verschwindende Rechenlei- 
stung erforderlich ist, weil beispielsweise im Programmablauf 
auf eine Eingabe eines Anwenders oder eine Information, die 
von einer anderen Einrichtung angefordert wurde, gewartet 

25 wird. Diese Auf gaben kSnnen in der Leistungssparbetriebsart 
ausgefuhrt werden, welche die geringe Rechenleistung der 
Hochsicherheitsbetriebsart mit der geringen Sicherheit der 
Hochleistungsbetriebsart kombiniert, dabei aber den Lei- 
stungsbedarf der Rechenwerke halbiert. 

30 

Ein Vorteil eines Prozessors gemab der vorliegendeii Erfindung 
besteht darin, dafi durch eine Realisierung von zwei oder drei 
der oben beschriebenen Betriebsarten, insbesondere der Hoch- 
sicherheitsbetriebsart zusammen mit der Hochleistungsbe- 
35 triebsart und/oder der Leistungssparbetriebsart, eine flexi- 
ble Anpassung von Sicherheitsstandard, Rechenleistung und 
Leistungsbedarf mdglich ist, wobei zwischen den Betriebsarten 
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dynamisch bzw. wahrend des Betriebs umgeschaltet bzw. gewech- 
selt werden kann. So kann beispielsweise in der Hochlei- 
stungsbetriebsart ein Anwender aufgefordert werden, eine PIN 
einzugeben, in der Leistungssparbetriebsart auf eine Eingabe 
5 der PIN gewartet werden und diese anschlieJiend in der Hochsi- 
cherheitsbetriebsart kryptographisch verarbeitet werden . 

Zur Realisierung eines Prozessors, der gemafi der vorliegenden 
Erfindung zwei, drei oder vier der anhand der Fig. 2 bis 5 

10 erlauterten Betriebsarten aufweist, ist die in Fig. 1 schema- 
tisch dargestellte Schaltung aus dem ersten Rechenwerk 2, dem 
zweiten Rechenwerk 4, der Steuereinrichtung 6 und der Komple- 
mentierungseinrichtung 8 nur ein Beispiel. Alternativ zu der 
Darstellung in Fig. 1 kann beispielsweise die Komplementie- 

15 rungseinrichtung 8 ein Bestandteil des zweiten Rechenwerks 4 
und dessen Dateneingang 28 nachgeschaltet sein und/oder es 
kann eine weitere Komplementierungseinrichtung in der Daten- 
leitung 22 des ersten Rechenwerks oder im ersten Rechenwerk 2 
vorgesehen sein. Abhangig von der Architektur bzw. der ver- 

2C wendeten Schaltung der Rechenwerke 2 und 4 kann fern'er unter 
Umstanden auf eine Komplementierungseinrichtung verzichtet 
werden, weil beispielsweise zum Komplementieren lediglich 
zwei Leitungen gekreuzt werden mussen. 

25 Die Steuereinrichtung 6 kann das erste Rechenwerk 2 und das 
zweite Rechenwerk 4 durch die Steuerleitungen 12 und 14 an- 
schalten bzw. aktivieren und (in der Leistungssparbetriebs- 
art) ausschalten bzw. stillegen, sie kann dies alternativ 
aber auch uber einen Zugriff auf die Leistungsversorgung der 

30 beiden Rechenwerke tun. 

Eine Zufiihrung derselben Daten uber die Datenleitung 22 an 
den Dateneingang 20 des ersten Rechenwerks 2 und uber die Da- 
tenleitung 36 an den Eingang 34 der Komplementierungseinrich- 
35 tung 8 ist auf verschiedene Weisen moglich. Beispielsweise 

konnen durch eine in Fig. 1 nicht dargestellte "Datenweiche", 
die mit den Datenleitungen 22 und 36 verbunden ist, Daten von 
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einer Datenquelle synchron zum Dateneingang 20 des ersten Re- 
chenwerks 2 und zum Eingang 34 in der Komplementierungsein- 
richtung 8 geleitet werden. 

Alternativ kann eine Datenweiche in die Steuereinrichtung 6 
integriert sein. Dann ist abweichend von der Darstellung in 
Fig. 1 die Steuereinrichtung 6 mit einer Datenquelle verbun- 
den, wobei der Dateneingang 20 des ersten Rechenwerks 2 uber 
eine Datenleitung mit der Steuereinrichtung 6 verbunden ist, 
und wobei der Eingang 3 4 der Komplementierungseinrichtung 8 
uber eine Datenleitung mit der Steuereinrichtung 6 verbunden 
ist. Die Steuereinrichtung 6 kann dann je nach der erwunsch- 
ten Betriebsart dieselben Daten synchron zu dem ersten Re- 
chenwerk 2 und uber die komplementierende oder nicht kompie- 
mentierende Komplementierungseinrichtung 8 zu dem zweiten Re- 
chenwerk 4 leiten oder verschiedene Daten an das erste Re- 
chenwerk 2 und. uber die nicht-komplementierende Komplementie- 
rungseinrichtung 8 an das zweite Rechenwerk 4 leiten oder nur 
Daten an das erste Rechenwerk 2 leiten. 

Auch beim Leiten von Befehlen uber die Bef ehlsleitungen 18 
und 26 an den Bef ehlseingang 16 des ersten Rechenwerks 2 bzw. 
den Bef ehlseingang 24 des zweiten Rechenwerks 4 exis'tieren 
verschiedene Moglichkeiten . Der Bef ehlseingang 16 des ersten 
Rechenwerks 2 und der Bef ehlseingang 24 des zweiten Rechen- 
werks 4 konnen uber die Bef ehlsleitungen 18 bzw. 26 direkt 
mit ein und derselben oder mit zwei verschiedenen Befehls- 
quellen verbunden sein, wie es oben in Zusammenhang mit Fig. 
1 erlautert wurde . Alternativ kann eine Bef ehlsquelle mit der 
Steuereinrichtung 6 verbunden sein, welche uber eine Befehis- 
leitung mit dem Bef ehlseingang 16 des ersten Rechenwerks una 
uber eine Bef ehlsleitung mit dem Bef ehlseingang 24 des zwei- 
ten Rechenwerks verbunden ist. Die Steuereinrichtung 6 leitet 
dann je nach der erwunschten Betriebsart synchron dieselben 
Befehle oder verschiedene Befehle an den Bef ehlseingang 16 
des ersten Rechenwerks 2 und den Bef ehlseingang 24 des zwei- 
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ten Rechenwerks 4 oder aber nur an eines der beiden Rechen- 
werke 2 und 4 . 

Die Steuereinrichtung 6 zum Ansteuern der beiden Rechenwerke 
5 2 und 4 kann also auf verschiedene Weise ausgefuhrt und mit 
dem ersten Rechenwerk 2, dem zweiten Rechenwerk 4 und der 
Koitiplementierungseinrichtung 8 wirksam verbunden sein, damit 
in Abhangigkeit von der erwunschten Betriebsart das erste Re- 
chenwerk 2 und das zweite Rechenwerk 4 synchron dieselben 
10 oder verschiedene Daten und Befehle verarbeiten konnen oder 

damit eines der beiden Rechenwerke 2 und 4 stillgelegt werden 
kann . 

Ferner ist eine Sof tware-Realisierunq der oben anhand der 

15 Fig. 2 bis 4 erlauterten Betriebsarten und des Wechsels zwi- 
schen denselben moglich. In diesem Fall weist der Prozessor 
ein erstes Rechenwerk 2 und ein zweites Rechenwerk 4 auf, und 
die Steuereinrichtung ist durch Befehle realisiert, welche 
durch den Prozessor bzw. die Rechenwerke ausfuhrbar sind. Der 

20 Bef ehlseingang 16 des ersten Rechenwerks 2 und der Be- 

fehlseingang 24 des zweiten Rechenwerks 4 sind mit einer Be- 
fehlsquelle bzw. einem Programmspeicher , beispielsweise einem 
ROM (ROM = read only memory = Nur-Lese-Speicher ) , verbunden. 
Das erste Rechenwerk 2 und das zweite Rechenwerk 4 weisen je- 

25 weils einen oder mehrere Dateneingange 20 bzw. 28 auf, wobei 
alle Datenquellen, welche Daten liefern, die in der Hochsi- 
cherheitsbetriebsart verarbeitet werden sollen, beispielswei- 
se eine Anwenderschnittstelle, uber die von einem Anwender 
eine PIN eingegeben wird 7 parallel so mit einem Dateneingang 

30 20 des ersten Rechenwerks und einem Dateneingang 28 des zwei- 
ven RecnenweiKs v^^r>unden sine, c^:: cem ersien Recnenwer>: 2 
die Daten der Datenquelle und synchron dazu dem zweiten Re- 
chenwerk 4 das Komplement der Daten der Datenquelle zugelei- 
tet werden. 

35 

Dies kann, wie es bereits oben anhand des in Fig. 1 darge- 
stellten Ausf uhrungsbeispiels erlautert wurde, beispielsweise 
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durch eine Komplementierungseinrichtung in der Datenleitung 
zwischen der Datenquelle und dem Dateneingang des zweiten Re- 
chenwerks oder aber, je nach der verwendeten Architektur der 
Rechenwerke, auch durch einf aches Kreuzen von Datenleitungen 
5 erfolgen. Die Bef ehlsquelle enthalt Paare von Befehlen, wobei 
jeweils einer der Befehle fur das erste Rechenwerk vorgesehen 
ist und diesem fiber einem Bef ehlseingang 16 zugefiihrt wird, 
und wobei der jeweils andere Befehl des Paars fur das zweite 
Rechenwerk 4 vorgesehen ist, und diesem synchron uber den Be- 
10 f ehlseingang 24 zugefiihrt wird. 

Programmteile, die fur die oben anhand der Fig. 2 erlauterten 
Hochsicherheitsbetriebsart vorgesehen sind, weisen Paare von 
Befehlen auf, welche jeweils zwei identische Befehle umfas- 

15 sen. Programmteile, welche fur eine Verarbeitung in der oben 
anhand der in Fig. 3 erlauterten Hochleistungsbetriebsart 
vorgesehen sind, weisen Befehlspaare auf, welche zwei gleich- 
zeitig von dem ersten Rechenwerk 2 bzw. dem zweiten Rechen- 
werk 4 zu verarbeitende Befehle umfassen. Programmteile, wel- 

20 che fur eine Verarbeitung in der oben anhand der Fig. 4 er- 
lauterten Leistungssparbetriebsart vorgesehen sind, weisen 
Befehlspaare auf, welche fur eines der Rechenwerke 2 und 4 
einen auszuf uhrenden Befehl und fur das jeweils andere Re- 
chenwerk einen nicht zu verarbeitenden Befehl oder einen 

25 Deaktivierungs- bzw. Abschaltbef ehl aufweisen. 

Bei Programmteilen, welche in der Hochsicherheitsbetriebsart 
ablaufen, verarbeiten somit das erste Rechenwerk 2 und das 
zweite Rechenwerk 4 gesteuert durch identische Befehle syn- 

30 chron kompl ementare Daten von der qleichen Datenquelle. Bei 

Programmteilen, welche in der Hochleistungsbetriebsart ablau- 
fen, verarbeiten das erste Rechenwerk 2 und das zweite Re- 
chenwerk 4 gesteuert durch im allgemeinen voneinander ver- 
schiedene Befehle verschiedene Daten von ein und derselben 

35 oder verschiedenen Datenquellen . Bei Programmteilen, welche 

fur eine Bearbeitung in der Leistungssparbetriebsart vorgese- 
hen sind, bearbeitet eines der beiden Rechenwerke gesteuert 
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durch Befehle Daten unci das andere Rechenwerk ist stillgelegt 
bzw. abgeschaltet . Im Fall von drei oder mehr Rechenwerken 
ist eine Kombination der Betriebsmodi moglich. 

5 Die oben dargestellten Ausf iihrungsbeispiele sind ohne weite- 
res auf Prozessoren mit mehr als zwei Rechenwerken, vorzugs- 
weise mit einer geraden Anzahl von paarweise baugleichen Re- 
chenwerken erweiterbar. In diesem Fall konnen alle Paare von 
Rechenwerken in derselben Betriebsart oder aber in verschie- 
10 denen Betriebsarten arbeiten. In der Leistungssparbetriebsart 
konnen alle Rechenwerke bis auf eines abgeschaltet sein. Im 
Fall von drei oder mehr Rechenwerken ist eine. Kombination der 
Betriebsarten moglich. 



15 Die vorliegende Erfindung eignet sich fur alle Prozessoren, 
welche fur kryptographische Anwendungen oder Sicherheitsan- 
wendungen verwendet werden konnen und vor Seitenkanalangrif - 
fen geschutzt werden sollen, beispielsweise fur Prozessoren 
in Chipkarten. 
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Bezugszeichenliste 

2 erstes Rechenwerk 

4 zweites Rechenwerk 

6 Steuereinrichtung 

8 Invert iereinrichtung 

12 Steuerleitung 

14 Steuerleitung 

16 Bef ehlseingang 

18 Bef ehlsleitung 

20 Dateneingang 

22 Datenleitung 

24 Bef ehlseingang 

26 Bef ehlsleitung 

28 Dateneingang 

30 Datenleitung 

32 Ausgang der Invertiereinrichtung 

34 Eingang der Invertiereinrichtung 

36 Datenleitung 

38 Steuerleitung 
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Patentanspruche 

1. Prozessor mit folgenden Merkmalen: 
5 einem ersten Rechenwerk (2) ; 

einem zweiten Rechenwerk (4); unci 

einer Steuereinrichtung (6) zum Ansteuern der beiden Rechen- 
10 werke (2) und (4) derart, daJi diese wahlweise in einer kom- 
plementare Daten verarbeitenden Hochsicherheitsbetriebsart 
oder in einer unabhangige Daten verarbeitenden Parallelbe- 
"triebsart arbeiten. 

15 2. Prozessor mit folgenden Merkmalen: 

einem ersten Rechenwerk (2) ; 

einem zweiten Rechenwerk (4); und 

20 

einer Steuereinrichtung (6) zum Ansteuern der beiden Rechen- 
werke (2) und (4) derart, daft diese wahlweise in einer kom- 
plementare Daten verarbeitenden Hochsicherheitsbetriebsart 
arbeiten oder sich in einer Leistungssparbetriebsart befin- 
25 den, in der eines der Rechenwerke (2, 4) abgeschaltet ist. 

3. Prozessor mit folgenden Merkmalen: 

einem ersten Rechenwerk (2) ; 

30 

einen. zweiien Rechenwerk (4;; ur^c 

einer Steuereinrichtung (6) zum Ansteuern der beiden Rechen- 
werke (2) und (4) derart, dafi diese wahlweise in einer kom- 
35 plementare Daten verarbeitenden Hochsicherheitsbetriebsart 
oder in einer gleiche Daten verarbeitenden Sicherheitsbe- 
triebsart arbeiten. 
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4. Prozessor gemafi einem der Anspruche 1 bis3, ferner ruit 
einer schaltbaren Komplementierungseinrichtung (8), mat einem 
Ausgang (32), der mit einem Eingang (28) des zweiten Rechen- 

5 werks (4) verbunden ist, zum Empfangen von Daten und zum 
wahlweisen Ausgeben der empfangenen Daten oder des Komple- 
ments der empfangenen Daten. 

5. Prozessor gemafi einem der Anspruche 1 bis 4, ferner mit 
10 folgenden Merkmalen: 

einem dritten Rechenwerk; und 

einem vierten Rechenwerk; 

15 

wobei das dritte Rechenwerk und das vierte Rechenwerk durch 
die Steuereinrichtung (6) derart ansteuerbar sind, _da.fi sie 
wahlweise in einer komplementare Daten .verarbeitenden Hochsi- 
cherheitsbetriebsart oder in einer unabhangige Daten verar- 
20 beitenden Parallelbetriebsart arbeiten- 

6. Prozessor gemafi einem der Anspruche 1 bis 4, ferner mit 
folgenden Merkmalen: 

25 einem dritten Rechenwerk; und 

einem vierten Rechenwerk; 

wobei das dritte Rechenwerk und das vierte Rechenwerk durch 
30 die Steuereinrichtung (6) derart ansteuerbar sind f dafi sie 

wahlweise in einer komplementare Daten veraroei tenden Hochsi- 
cherheitsbetriebsart arbeiten oder sich in einer Leistungs- 
sparbetriebsart befinden, in der das dritte und/oder das 
vierte Rechenwerk abgeschaltet ist . 

35 

7. Prozessor gemafi einem der Anspruche 1 bis 4, ferner mit 
folgenden Merkmalen: 
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einem dritten Rechenwerk; und 
einem vierten Rechenwerk; 

5 

wobei das dritte Rechenwerk und das vierte Rechenwerk durch 
die Steuereinrichtung (6.) derart ansteuerbar sind, daii sie 
wahlweise in einer komplementare Daten verarbeitenden Hochsi- 
cherheitsbetriebsart oder in einer gleiche Daten verarbeiten- 
10 den Sicherheitsbetriebsart arbeiten. 

8. Prozessor gemaJi einem der Anspruche 1 bis 7, bei dem das 
erste Rechenwerk (2) und das zweite Rechenwerk (4) derart 
ausgestaltet sind, daii sie in der Hochsicherheitsbetriebsart 

15 zeitsynchron die gleichen Befehle verarbeiten konnen. 

9. Prozessor gemaft einem der Anspruche 1 bis 8, bei dem das 
erste Rechenwerk (2) und das; zweite Rechenwerk (4) raumlich 
benachbart oder ineinander verwoben angeordnet sind. 

20 

10. Prozessor gemaJi einem der Anspruche 1 bis 9, bei dem der 
Prozessor ein Kryptographie- oder Sicherheitsprozessor ist. 

11. Prozessor mit folgenden Merkmalen: 

25 

einem erst en Rechenwerk (2) ; 

einem zweiten Rechenwerk (4); 

30 einer Datenquelle, welche mit dem ersten Rechenwerk (2) und 

dem zweiten Rechenweii. (4) derari verbunden ist, oah synchron 
dem ersten Rechenwerk (2) Daten und dem zweiten Rechenwerk 
(4) das Komplement der Daten zugefuhrt werden; und 

35 einer Bef ehlsquelle, welche ein Paar von Befehlen aufweist, 
wobei einer der Befehle des Bef ehlspaares fur das erste Re- 
chenwerk (2) vorgesehen ist und wobei der andere Befehl des 
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Befehlspaares fur das zweite Rechenwerk (4) vorgesehen ist, 
und die mit dem ersten Rechenwerk (2) und dem zweiten Rechen- 
werk (4) derart verbunden ist, dali synchron der fur das erste 
Rechenwerk (2) vorgesehene Befehl des Befehlspaares dem er- 
5 sten Rechenwerk (2) und der fur das zweite Rechenwerk (4) 
vorgesehene Befehl des Befehlspaares dem zweiten Rechenwerk 
(4) zugefuhrt. werden konnen. 

12. Prozessor gemafl Anspruch 11, bei dem der fur das erste 
10 Rechenwerk (2) vorgesehene Befehl und der fur das zweite Re- 
chenwerk (4) vorgesehene Befehl gleich sind. 

13. Chipkarte mit einem Prozessor gemaii einem der Anspruche 
1 bis 12. 

15 
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